Prima di procedere
Le autorità della Georgia hanno arrestato un cittadino lituano di 29 anni sospettato di aver infettato circa 2,8 milioni di computer in tutto il mondo con un sofisticato malware. Questo malware, abilmente camuffato da utility KMSAuto, un software utilizzato per l'attivazione non autorizzata di prodotti Microsoft Office e Windows, era in realtà un virus 'clipper' progettato per manipolare il contenuto degli appunti del sistema operativo.
Secondo le indagini, il sospettato avrebbe ingannato le vittime, spingendole a scaricare un file eseguibile dannoso spacciato per KMSAuto. Una volta eseguito, il malware monitorava gli appunti alla ricerca di indirizzi di portafogli di criptovalute, sostituendoli con indirizzi controllati dal criminale informatico. Questo tipo di attacco, noto come 'virus-clipper', è particolarmente insidioso perché opera in modo silenzioso, modificando le transazioni all'insaputa dell'utente.
Le autorità sudcoreane, che hanno condotto le indagini, hanno stimato che, da aprile 2020 a gennaio 2023, l'hacker ha diffuso circa 2,8 milioni di copie del malware, mascherato da programma di attivazione di licenze Windows. Attraverso questo stratagemma, si stima che abbia sottratto asset virtuali per un valore di circa 1,2 milioni di dollari (1,7 miliardi di won coreani) in 8.400 transazioni, ai danni di 3.100 utenti di asset virtuali.
L'indagine è iniziata nell'agosto del 2020, a seguito di una denuncia di furto di criptovalute. Gli inquirenti sono riusciti a tracciare i movimenti dei fondi, identificando il sospettato. Nel dicembre 2024, è stata condotta un'operazione in Lituania, durante la quale sono stati sequestrati 22 oggetti, tra cui computer portatili e telefoni cellulari. L'analisi forense di questi dispositivi ha rivelato prove cruciali che hanno portato all'arresto dell'uomo nell'aprile 2025, mentre si recava dalla Lituania alla Georgia.
La polizia sudcoreana ha colto l'occasione per ricordare al pubblico i rischi associati all'uso di software pirata. L'utilizzo di programmi progettati per eludere la protezione del copyright può esporre i sistemi a gravi minacce informatiche. Insieme a queste utility, è facile che vengano installati malware in grado di compromettere la sicurezza dei dati e la privacy degli utenti. Si raccomanda pertanto di evitare l'uso di attivatori non ufficiali per prodotti software e, in generale, di diffidare di qualsiasi file eseguibile per Windows che non disponga di una firma digitale verificabile o la cui integrità non possa essere accertata.
Questo caso sottolinea l'importanza di utilizzare software con licenza e di adottare misure di sicurezza informatica adeguate, come l'installazione di software antivirus e l'aggiornamento regolare dei sistemi operativi. La diffusione di malware tramite software pirata è una tattica comune tra i criminali informatici, che sfruttano la vulnerabilità degli utenti che cercano di risparmiare sull'acquisto di licenze software legittime.
La cooperazione internazionale tra le forze dell'ordine è stata fondamentale per la risoluzione di questo caso. La capacità di tracciare i movimenti dei fondi rubati e di identificare il sospettato in un altro paese dimostra l'efficacia della collaborazione tra le diverse giurisdizioni nella lotta contro il cybercrime.
Il caso del malware KMSAuto evidenzia anche la crescente sofisticazione delle minacce informatiche. I virus 'clipper' sono particolarmente pericolosi perché operano in modo silenzioso e sono difficili da rilevare. Gli utenti devono essere consapevoli di questi rischi e adottare misure di protezione adeguate per proteggere i propri asset digitali.
